Cisco a mis en garde contre une nouvelle faille zero-day dans IOS XE qui a été activement exploitée par un acteur malveillant inconnu pour déployer un implant malveillant basé sur Lua sur des appareils sensibles.
Suivi comme CVE-2023-20273 (score CVSS : 7,2), le problème est lié à une faille d’élévation de privilèges dans la fonctionnalité de l’interface utilisateur Web et aurait été utilisé avec CVE-2023-20198 dans le cadre d’une chaîne d’exploitation.
« L’attaquant a d’abord exploité CVE-2023-20198 pour obtenir un accès initial et a émis une commande privilège 15 pour créer une combinaison d’utilisateur local et de mot de passe », Cisco dit dans un avis mis à jour publié vendredi. « Cela a permis à l’utilisateur de se connecter avec un accès utilisateur normal. »
« L’attaquant a ensuite exploité un autre composant de la fonctionnalité de l’interface utilisateur Web, en exploitant le nouvel utilisateur local pour élever le privilège de root et écrire l’implant dans le système de fichiers », une lacune à laquelle a été attribué l’identifiant CVE-2023-20273.
Un porte-parole de Cisco a déclaré à The Hacker News qu’un correctif couvrant les deux vulnérabilités a été identifié et sera mis à la disposition des clients à partir du 22 octobre 2023. En attendant, il est recommandé de désactiver la fonctionnalité du serveur HTTP.
Bien que Cisco ait précédemment mentionné qu’une faille de sécurité désormais corrigée dans le même logiciel avait été exploitée pour installer la porte dérobée, la société a évalué la vulnérabilité comme étant n’est plus associé avec l’activité à la lumière de la découverte du nouveau zero-day.
« Un acteur distant non authentifié pourrait exploiter ces vulnérabilités pour prendre le contrôle d’un système affecté », estime l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA). dit. « Plus précisément, ces vulnérabilités permettent à l’acteur de créer un compte privilégié qui offre un contrôle complet sur l’appareil. »
L’exploitation réussie des bogues pourrait permettre aux attaquants de obtenez un accès à distance illimité aux routeurs et aux commutateurs, surveillez le trafic réseau, injectez et redirigez le trafic réseau et utilisez-le comme tête de pont persistante vers le réseau en raison du manque de solutions de protection pour ces appareils.
Ce développement intervient alors que plus de 41 000 appareils Cisco exécutant le logiciel vulnérable IOS XE auraient été compromis par des acteurs malveillants utilisant les deux failles de sécurité, selon les données de Censys et FuiteIX.
« Le 19 octobre, le nombre d’appareils Cisco compromis est tombé à 36 541 », a indiqué la société de gestion des surfaces d’attaque. « Les principales cibles de cette vulnérabilité ne sont pas les grandes entreprises mais les petites entités et les individus. »